Definir automaticamente usuário administrador local via GPO

Muitas são as vezes em que precisamos acessar uma estação de trabalho com um usuário que tenha nível de permissão de administrador local. Isso dependendo do tamanho da empresa, se torna inviável ir de máquina em máquina para criar este usuário ou em alguns casos não sabemos a senha do usuário que foi criado quando a máquina foi formatada.

Assim iremos ensinar como criar um usuário com nível de permissão de administrador local que será aplicado no primeiro logon da máquina com qualquer usuário que faça parte do domínio Active Directory. Para isso acontecer bastará que o usuário esteja dentro da estrutura de OU (Unidade Organizacional) determinada em que foi aplicada a GPO.

1. Preparando o Servidor

1.1 Criando o Script

Iremos criar um script em Power Shell que verifica se o usuário (Administrador Local) já existe e caso não exista, crie ele e o adicione ao grupo Administradores ou Administrators (dependendo da língua do S.O) com uma senha predefinida

Para isso siga os passos abaixo.

Abra o seu editor de textos preferido e digite o código abaixo, substituindo o nome e a senha aqui descritos (negrito).

$PASSWORD= ConvertTo-SecureString -AsPlainText -Force -String 'Teste@2023#@!'

$op = Get-LocalUser | Where-Object {$_.Name -eq "ADMteste"}

if ( -not $op)

{

New-LocalUser -Name ADMTeste -Description "Administrador Local" -Password $PASSWORD

Add-LocalGroupMember -Group "Administradores" -Member "ADMTeste"

Add-LocalGroupMember -Group "Administrators" -Member "ADMTeste"

Get-LocalGroupMember -Group "Administradores"

Get-LocalGroupMember -Group "Administrators"

Write-Host "Usuário criado com sucesso!"

}

Else

{

Write-Host "Usuário já Existe!"

}

Observe que em nosso exemplo foi definido o nome do usuário ADMTeste e a senha “Teste@2023#@!“.

Salve o arquivo dentro de uma pasta específica.
Em Nome: digite o nome do arquivo entre aspas duplas, informando a extensão .ps1 (PowerShell). EX: “user-local.ps1”

Em Tipo: selecione Todos os arquivos.

Cliquem em OK.

 

*OBS: caso no seu ambiente tenha uma GPO que bloqueie scripts não assinados digitalmente, será preciso assiná-lo; caso contrário não irá funcionar.

1.2 Criando a GPO

Iremos aplicar o script por meio de uma GPO que ao fazer logon no S.O chama o script e o aplica.

É importante que você crie uma estrutura organizando-a por Unidades Organizacionais (OUs) e se possível separando-as por setores/departamentos. Assim você irá aplicar a sua GPO para os usuários que estiverem nessa OU.

Abra o Gerenciados de Política de Grupo. Vá até a OU que deseja aplicar a GPO e crie uma GPO.

 

Clique com o botão direito do mouse na GPO criada e clique em Editar.

 

Expanda os menus: Configuração do Usuário – Políticas – Configurações do Windows – Scripts (Logon/Logoff) — Logon

 

Clique em Script do PowerShell, depois em Mostrar Arquivos…

 

Irá abrir uma janela do Windows Explorer. Clique duas vezes no botão Pasta Acima

 

Assim ficará dentro da pasta User.

 

 

Abra outra janela do Windows Explorer e vá até a pasta onde salvou o script que cria o usuário com permissões de administrador local. Copie e cole o arquivo dentro da pasta User da GPO que estamos criando agora.

 

Copie o endereço da GPO e feche o Windows Explorer.

 

\\LABTESTE.LOCAL\SysVol\LABTESTE.LOCAL\Policies\{3DA73B99-F0A4-4E96-A4D3-3B9D54F6BDC9}\User

Clique no botão Adicionar

 

Clique em Procurar…

 

Cole na barra de endereço o que foi copiado anteriormente e aperte ENTER
Selecione o arquivo user-local.ps1 e clique em Abrir

 

Cliquem em OK.

 

Em Para este GPO, executar os scripts nesta ordem:  escolha Executar primeiro Scripts do Windows PowerShell.
Clique em OK.

 

 

 

2. Estação do usuário

Após o primeiro do logon de qualquer usuário que esteja na OU em que você aplicou a GPO o script será executado.

Para verificar se o usuário foi realmente criado na máquina do cliente, siga os passos abaixo.
Faça logon em uma estação com qualquer usuário que faça parte do domínio e esteja dentro da estrutura que criamos deste manual.

Clique no menu Iniciar — Ferramentas Administrativas

 

Clique em Gerenciamento do Computador

 

Expanda o menu Usuários e Grupos Locais – Usuários.

 

 

Expanda o menu Usuários e Grupos Locais – Grupos.

 

Podemos ver que o usuário que criamos através do Script já faz parte do grupo de Administradores locais da máquina.

 

Um abraço!

Até a próxima.

 

Este artigo foi lido 1356 vezes!